“La Industria 4.0 también requiere hacer frente a los nuevos riesgos y las ciberamenazas”
Cerca de mil organizaciones nacionales e internacionales cuentan actualmente con certificados AENOR en ISO/IEC 27001 o Esquema Nacional de Seguridad, lo que la convierte en la entidad líder en soluciones de ciberseguridad.
Hablamos con Boris Delgado, director de soluciones de digitalización y tecnología de AENOR, sobre los desafíos que supone la transformación digital para las empresas, así como las recientes actualizaciones en los principales estándares de seguridad (ISO/IEC 27001, ISO/IEC 27002 y ENS), cuyo fin último debe ser aportar soluciones contra los riesgos y amenazas digitales a las organizaciones que las implantan y certifican.
¿Qué peso tiene la digitalización en el panorama empresarial actual?
No cabe duda de que la digitalización empresarial y de la industria constituye uno de los retos más ambiciosos para los modelos de negocio. La denominada Industria 4.0 o industria inteligente va más allá de la utilización de tecnologías innovadoras. Supone la aplicación de estas tecnologías a los procesos de las organizaciones para conseguir la interconexión entre las diferentes áreas, personas, activos, consumidores, clientes, proveedores o subcontratistas. Este enfoque consigue crear modelos de negocio más eficientes y cooperativos que aprovechan la información generada y los avances tecnológicos para la mejora de los procesos productivos, productos y servicios, cadena de suministros y rentabilidad de las organizaciones.
Entonces, cuando hablamos de Industria 4.0, ¿no nos referimos solo a una transformación tecnológica?
Desde luego que no, esa transformación debe suponer también un cambio en la cultura empresarial e industrial. Así, la resistencia al cambio es uno de los retos que hay que abordar que afecta principalmente a pymes de todos los sectores. A esta resistencia se le debe prestar especial atención, teniendo las organizaciones el reto de transformar su cultura empresarial haciendo hincapié en la competencia, talento y capital humano con los que cuenta; y orientándolos hacia nuevos modelos de negocio apoyados en tecnología digitales, sostenibles, competitivos y en constante mejora.
¿Cómo ayuda AENOR a la transformación digital de una compañía?
Miles de empresas de todo el mundo tienen ante sí ese reto. La Industria 4.0 requiere la conjunción de las tecnologías de operación (OT) e Internet de las Cosas (IoT), pero también hay que hacer frente a nuevos riesgos y ciberamenazas y, por ello, se requieren nuevas herramientas de gestión. AENOR ha desarrollado un Ecosistema Digital para acompañar a las organizaciones en ese proceso de transformación digital, un ecosistema que está compuesto por un conjunto de soluciones que abarcan cuestiones como Gobierno y gestión TIC, Gobierno, gestión y calidad de datos, y Ciberseguridad y Privacidad.
La pandemia del COVID-19 obligó a una aceleración inesperada de la transformación digital, con un profundo impacto en las organizaciones, en las industrias y en la sociedad. ¿Cómo se ha traducido esa situación a efectos prácticos?
Las administraciones públicas de todos los países están realizando importantes esfuerzos por todos conocidos. Es el caso de los fondos de recuperación europeos y nacionales, que consideran la digitalización y la ciberseguridad como ámbitos prioritarios en sus estrategias de ayuda. Así, la transformación digital es uno de los ejes principales muy presente en los fondos Next Generation EU, el instrumento con el que se apoya la recuperación económica tras la crisis provocada por el COVID-19.
En esa línea, ¿podemos decir que la ciberseguridad y privacidad de los sistemas y los datos se han convertido en los retos con mayor prioridad en los comités de dirección de las organizaciones que apuestan por la transformación digital?
Sin ninguna duda. Los analistas de IDC Research han estimado que en 2023 el mercado de la ciberseguridad retomará la senda del crecimiento a un ritmo del 7,7 % para hacer frente al incremento exponencial de los ciberataques a las organizaciones públicas y privadas. El recién publicado informe anual de riesgos del World Economic Forum advierte de una “policrisis”, donde los ciberataques y el cibercrimen se sitúan como uno de los diez riesgos que hay que considerar. Por lo tanto, hay que garantizar la ciberseguridad de los sistemas y la privacidad de los datos, para que la transformación digital en las organizaciones públicas y privadas sea una realidad. En este escenario, el estándar y su certificación de la ISO/IEC 27001, se convierten en una herramienta fundamental para que las organizaciones logren una mejor gestión de la ciberseguridad.
"El estándar y su certificación de la ISO/IEC 27001, se convierten en una herramienta fundamental para que las organizaciones logren una mejor gestión de la ciberseguridad"
Ese estándar ISO/IEC 27001 y el ENS se han actualizado recientemente. ¿En qué consisten sus principales cambios y cómo afectarán a las empresas?
Tanto el ISO/IEC 27001 con el Esquema Nacional de Seguridad (ENS) se han revisado para adaptarlos aún mejor al escenario actual, donde la ciberseguridad se ha convertido en una prioridad estratégica de las organizaciones para generar confianza en la sociedad digital. Con más de 15 años de historia, la nueva versión de la Norma ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información (SGSI) ha mantenido prácticamente intactos sus requisitos y su índice sigue alineado a la estructura de alto nivel de las normas de sistemas de gestión de ISO. La principal novedad de la nueva versión de la ISO/IEC 27001 y que no supone un gran impacto es la inclusión de un nuevo apartado sobre planificación de los cambios en el sistema de gestión de seguridad de la información. Sin embargo, su anexo A se ha modificado simplificando su estructura y controles, de acuerdo con la nueva ISO/IEC 27002, que es la referencia internacional de controles técnicos, organizativos y legales de seguridad, a implantar según el resultado del análisis de riesgos del sistema de gestión de seguridad de la información. Las compañías certificadas en ISO/IEC 27001 deberán adaptar su sistema de gestión a esta nueva versión antes del 31 de octubre de 2025.
AENOR ha obtenido la acreditación de la Entidad Nacional de Acreditación (ENAC) para certificar la conformidad del Real Decreto 311/2022 por el que se regula el Esquema Nacional de Seguridad (ENS). Se convierte así en la primera entidad que consigue esta acreditación. ¿En qué consiste exactamente?
El Esquema Nacional de Seguridad (ENS) establece la política de seguridad en la utilización de medios electrónicos. Se aplica a todo el sector público y a sus proveedores tecnológicos del sector privado. Con el fin de generar confianza en los sistemas de información de las Administraciones Públicas, el ENS establece la obligatoriedad de realizar una auditoría de certificación por una entidad acreditada por ENAC. La acreditación que ha recibido AENOR supone un nuevo respaldo al rigor que viene desarrollando la entidad, que fue en 2017 la primera certificadora en acreditarse para certificar el ENS.
Al igual que el ISO/IEC 27001, nos comentaba antes que también el ENS ha sido actualizado recientemente. ¿Qué novedades aporta?
Entre ellas, incorpora una evolución de los requisitos básicos, unos nuevos perfiles de cumplimiento y un nuevo sistema de codificación, para facilitar de manera proporcionada la seguridad de los sistemas de información, su implantación y posterior auditoría de conformidad. En este caso, las organizaciones cuentan hasta el 5 de mayo de 2024 para adaptar sus certificados al nuevo Esquema Nacional de Seguridad.
"El Esquema Nacional de Seguridad (ENS) establece la política de seguridad en la utilización de medios electrónicos"
¿Cómo facilita AENOR el acceso de sus clientes a todas estas novedades?
Fiel a nuestro propósito de aportar soluciones que generen confianza entre organizaciones y personas, AENOR ha actualizado su Plataforma de Confianza “Proteger la seguridad y privacidad de los datos”. Su objetivo es continuar dando respuesta a nuevas cuestiones y retos en el marco del actual escenario de ciberseguridad. Esta plataforma se apoya en el modelo de ciberseguridad y privacidad de AENOR y propone un modelo eficaz, eficiente y dinámico (vigente en todo momento) basado en las mejores prácticas, los estándares ISO que han sido consensuados por 155 países, y que dotan de una mayor visión y capacidad de reacción a la ciberseguridad.